Double Extortion Ransomware – was ist das und wie schütze ich mein Unternehmen davor?

Blog Cybersicherheit

Ransomware ist ein ernstzunehmendes Risiko für Unternehmen. Aktuell ist jedoch immer häufiger von Double Extortion Ransomware die Rede. Was ist das, was bedeuten diese Angriffe für Unternehmen und wie können Sie sich schützen? Das verraten wir Ihnen in diesem Blogbeitrag.

Was ist Double Extortion Ransomware?

Double Extortion bedeutet übersetzt “doppelte Erpressung“. Dabei wird nicht unbedingt mehrfach erpresst, sondern die Cyberkriminellen nutzen mehrere Druckmittel für ihre Erpressung. Bei der bisher üblichen Ransomware gibt es zumeist ein Druckmittel: Die Daten eines Computers, Netzwerks oder Systems werden verschlüsselt. Für die Entschlüsselung wird ein Lösegeld gefordert. Bei Double Extortion Ransomware ergänzen die Cyberkriminellen weitere Druckmittel, um die Lösegeldzahlung für das erpresste Unternehmen möglichst unumgänglich zu machen.

Womit drohen Cyberkriminelle bei einer Double Extortion? 

Bei vielen Double Extortions kopieren die Cyberkriminellen die Daten vor ihrer Verschlüsselung. Dabei bevorzugen sie möglichst sensible Informationen wie z. B. Unternehmensgeheimnisse oder persönliche Daten. Später drohen sie dann, genau diese Daten zu veröffentlichen oder im Darknet zu versteigern.

Weitere mögliche Druckmittel der Cyberkriminellen: 

  • DDoS-Angriffe, mit denen Cyberkriminelle die Website des erpressten Unternehmens unnutzbar machen.
  • Von den Cyberkriminellen festgestellte Verstöße des Unternehmens gegen Vorschriften, z. B. die DSGVO. Dann liegen die Lösegeldforderungen häufig unter dem zu erwartenden Bußgeld.

Wie läuft ein typischer Double Extortion Angriff ab? 

Den typischen Ablauf dieser Angriffe zu kennen hilft, sich effektiver vor ihnen zu schützen.

  1. Kompromittierung des Unternehmensnetzwerkes. Zum Beispiel durch eine erfolgreiche Phishing-E-Mail, über nocht nicht durch Updates geschlossenen Sicherheitslücken oder durch Angriffe auf Fernzugriff-Zugänge.
  2. Verbreitung im Netzwerk. Die Cyberkriminellen weiten ihren Zugriff aus und forschen das System und seine Daten aus.
  3. Daten-Exfiltration. Die Cyberkriminellen kopieren sich möglichst viele und möglichst sensible Daten des Unternehmens.
  4. Aktivierung der Ransomware. Verschlüsselung aller für die Cyberkriminellen erreichbaren Daten und Systeme des Unternehmens; Präsentation der Lösegeldforderung.
  5. Die Veröffentlichung oder Versteigerung der kopierten Daten kann angedroht werden, wenn das Unternehmen die Lösegeldzahlung verweigert. Sie kann aber auch direkt bei der ersten Lösegeldforderung in Aussicht gestellt werden.

Die häufigsten Angriffswege der Cyberkriminellen

Für die Cyberkriminellen ist die erste Kompromittierung des Unternehmensnetzwerkes entscheidend. Dazu nutzen sie unterschiedliche Angriffswege:

  • Phishing-E-Mails
  • Sicherheitslücken in Software und Hardware
  • Schwachstellen von VPN-Verbindungen
  • Brute-Force-Angriffe auf Fernzugänge zum Unternehmensnetzwerk (diese Zugänge sind auch bekannt als Remote Desktop Protocol, kurz RDP).
  • Im Darknet gekaufte Zugangsdaten zu bereits kompromittierten Netzwerken

Wie können Sie Ihr Unternehmen besser vor Double Extortion Angriffen schützen? 

Ganz grundlegend sollten Sie Ihre Schutzstrategie zweigleisig aufsetzen:

  • Vereitelung von erfolgreichen Angriffen (Prävention)
  • Schadensbegrenzung bei erfolgreichen Angriffen (Reaktion)

Einen durchdachten Cybersicherheit-Grundschutz umzusetzen, bewirkt bereits viel. Zusätzlich empfehlen wir spezifische Maßnahmen, um typische Abläufe von Double Extortion Angriffen zu unterbinden – oder zumindest schnell zu erkennen und sofort reagieren zu können.

Besonderen Schutz bietet ein konsequent umgesetztes Zero Trust Modell, das mit spezifischen Maßnahmen ergänzt wird.

Eine wirksame Schutzstrategie ist individuell auf Ihr Unternehmen zugeschnitten – unter anderem auf seine technischen, menschlichen und inhaltlichen Gegebenheiten, Möglichkeiten und Grenzen. Hierzu beraten die Expertinnen und Experten von Perseus Sie gerne.

Einige besonders wichtige Maßnahmen möchten wir Ihnen aber schon hier an die Hand geben.

Besonders wichtige Maßnahmen zur Prävention von Double Extortion Angriffen

  • Anti-Phishing-Sensibilisierung und -Training Ihrer Mitarbeitenden
  • Umgehendes Einspielen von Updates und Patches, ganz besonders bei häufigen Angriffspunkten wie VPN und RDP.
  • Zugänge zu häufigen Angriffspunkten nur denjenigen geben, die sie wirklich brauchen. Diese Zugänge möglichst per Multi-Faktor-Authentifizierung absichern.
  • Sensible Daten gezielt schützen, z. B. durch Verschlüsselung oder ausgelagerte Speicherung.
  • Segmentierung des Unternehmensnetzwerkes in möglichst getrennte Bereiche.

Besonders wichtige Maßnahmen zur Schadensbegrenzung bei Double Extortion Angriffen

  • Überwachung des Systems auf verdächtige Vorgänge.
  • Einhaltung der DSGVO und anderer Vorschriften, um Erpressbarkeit zu vermindern.
  • Förderung einer positiven, aufmerksamen Sicherheitskultur, damit Kompromittierungen schnell erkannt und gemeldet werden. Nur dann kann angemessen reagiert werden.
  • Ein Notfallplan, der allen Mitarbeitenden vertraut und zugänglich ist. Er muss erste Maßnahmen und Kontaktpersonen für den Cyber-Notfall benennen.
  • Ggf. Hard- und Software nutzen, die Datenabflüsse bei erfolgreicher Kompromittierung  verhindert. Solche Produkte sind auch bekannt als Data Loss Prevention.
  • Tagesaktuelle, vom System getrennt aufbewahrte Back-ups
  • Strategie zum leichten, schnellen Wiederherstellen des Systems aus aktuellen Back-ups

An wen können Sie sich im Akutfall wenden?

Sie vermuten eine Kompromittierung Ihres Netzwerkes oder haben sogar gerade eine Lösegeldforderung vor sich? Dann handeln Sie umgehend:

Perseus-Mitglieder können jeden Tag rund um die Uhr auf unsere Incident Response zählen
Ebenfalls rund um die Uhr besetzt ist diese Notfall-Nummer für Nicht-Mitglieder: +49 30 233 2730 95

Weitere Informationen

Im persönlichen Gespräch beraten wir Sie gerne zum Thema Double Extortion und dazu, wie Sie Ihr Unternehmen besser schützen können. Wenn Sie sich zu diesem Thema gerne noch etwas einlesen möchten, schauen Sie doch einmal hier vorbei:

  • No More Ransom ist eine Initiative u. a. der National High Tech Crime Unit der niederländischen Polizei und von Europols europäischem Cybercrime Center. Hier finden Sie Informationen zum Thema und viele Präventions-Tipps.
  • Dieser englischsprachige Bericht widmet sich ausführlich der aktuellen Lage von Ransomware und der vermehrten Verbreitung von Double Extortion Ransomware. Die Organisation hinter dem Bericht ist das Royal United Service Institute (RUSI), ein unabhängiges britisches Forschungsinstitut, das sich der nationalen und internationalen Sicherheit widmet.

Wir nehmen Datenschutz ernst.

Wir nutzen Cookies, um Ihnen bestmögliche Funktionalitäten bieten zu können und Informationen zu erhalten, um die Webseite hinsichtlich Inhalt, Reichweite, Performance und Sicherheit ständig zu verbessern.

Essentielle Cookies (1)

Essentielle Cookies ermöglichen grundlegende Funktionen und sind daher für den reibungslosen Ablauf der Webseite notwendig, aus diesem Grund ist eine einzelne Deaktivierung nicht möglich. Sie werden ausschließlich von uns genutzt. Für die Nutzung von essentiellen Cookies ist Ihre Einwilligung nicht erforderlich.

Technische Cookies (1)

  • Google Tag Manager
    ?

    Der Google Tag Manager dient der Verwaltung von Webseiten-Tags. Er erfasst und verarbeitet keine personenbezogenen Daten. Allerdings kann er andere Cookies auslösen, die diese unter Umständen verarbeiten. Wir nutzen ihn für Cookie-Management. Über ihn wird die Einwilligung zum setzen von Cookies eingeholt und verwaltet.

    • Cookie-Namen:
      gtm, gtm_auth, gtm_debug, gtm_preview, eng_mt, trctestcookie
    • Ablaufdatum:
      2 Jahre, Sitzung, Sitzung, Sitzung, fortdauernd, Sitzung
    • Unternehmen:
      Google Ireland Ltd.

Funktionale Cookies (3)

Funktionale Cookies setzen wir ein, um personalisierte Daten, wie z.B. Ihre Sprachpräferenz anonymisiert zu speichern und so beim nächsten Mal automatisch wieder aufzurufen. Funktionale Cookies können außerdem dazu genutzt werden, angeforderte Funktionen wie das Abspielen von Videos zu ermöglichen. Die Daten werden nicht an Dritte weitergegeben und verfolgen nicht Ihre Bewegung auf anderen Internetseiten.

Darstellung (1)

  • Vimeo
    ?

    Mit Hilfe des Vimeo-Cookies können Sie die Erklärvideos auf unserer Webseite sehen.

    • Cookie-Namen:
      vuid
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Vimeo LLC

Kommunikation (2)

  • Freshworks Webforms
    ?

    Mit Hilfe des Cloudflare-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      _cfduid
    • Ablaufdatum:
      30 Tage
    • Unternehmen:
      Cloudflare, Inc. im Formular von Freshworks, Inc.
  • SendInBlue
    ?

    Mit Hilfe des sib-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      sib_cuid
    • Ablaufdatum:
      6 Monate
    • Unternehmen:
      Sendinblue

Analysen und Statistiken (3)

Statistik-Cookies erfassen Informationen pseudonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher die Webseite nutzen, zum Beispiel welche Seiten besonders häufig geklickt werden. Dadurch können wir unsere Inhalte und Funktionen an ihre Interessen anpassen. Bei Deaktivierung können Probleme mit einzelnen Funktionalitäten der Webseite auftreten.

Analytische Cookies (3)

  • Google Analytics / Google Analytics Audiences
    ?

    Google Analytics: Die Cookies von Google Analytics liefern uns durch statistische Auswertungen Informationen zur optimalen Gestaltung der Webseite für unsere Kunden. Google Analytics Audiences: Cookies von Google für Zielgruppen-Analyse. Dient der Gruppierung von Benutzern auf der Grundlage einer beliebigen Kombination von Attributen.

    • Cookie-Namen:
      _ga, _gat, _gid, ads/ga-audiences
    • Ablaufdatum:
      2 Jahre, 1 Tag, 1 Tag, Sitzung
    • Unternehmen:
      Google Ireland Ltd.
  • Google Optimize / Double Click
    ?

    Mit Google Optimize-Cookies können wir die Nutzererfahrung auf unserer Webseite verbessern.

    • Cookie-Namen:
      _gat
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Google Irland Ltd.
  • Hotjar
    ?

    Cookies von Hotjar für Webseiten-Analyse. Damit lassen sich die Bewegungen der Nutzer unserer Internetseite anonymisiert nachvollziehen (sog. Heatmaps) zur Verbesserung ihrer Bedienungsfreundlichkeit.

    • Cookie-Namen:
      _hjid, _hjid, _hjIncludedInSampl, _hjViewportId, _hjRecordingEnabled, _hjRecordingLastActivity, _hjTLDTest
    • Ablaufdatum:
      1 Jahr, fortdauernd, Sitzung, Sitzung, Sitzung, Sitzung, Sitzung
    • Unternehmen:
      Hotjar Ltd.

Marketing- und sonstige Third-Party-Cookies (2)

Cookies für Marketing und Cookies von Dritten (Third-Party-Cookies) werden bei uns genutzt, um den Erfolg von Marketingmaßnahmen messen zu können z.B. ob man eine Webseite besucht hat. Sie können auch dazu dienen, diese im Anschluss entsprechend zu steuern z.B. die Häufigkeit einer angezeigten Anzeige zu limitieren. Es ist möglich, dass diese Information mit Dritten, wie z.B. Werbetreibenden, geteilt wird. Häufig werden diese Cookies auch mit Seitenfunktionalitäten von Dritten verbunden.

Social Media (1)

  • Facebook Connect/ Facebook Pixel
    ?

    Durch den Einsatz des Facebook Pixels können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine Facebook-Anzeige angesehen oder angeklickt haben. Facebook kann die Daten für die zielgerichtete Ausspielung von Werbeanzeigen nutzen.

    • Cookie-Namen:
      _fbp, fr, tr
    • Ablaufdatum:
      3 Monate, 3 Monate, Sitzung
    • Unternehmen:
      Facebook Ireland Ltd.

Personalisierte Werbung (1)

  • LinkedIn Marketing Solutions/LinkedIn Ads
    ?

    Durch den Einsatz der LinkedIn Marketinglösung-Cookies können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine LinkedIn-Anzeige angesehen oder angeklickt haben.

    • Cookie-Namen:
      lang (2x), bcookie, bscookie, lidc, UserMatchHistory
    • Ablaufdatum:
      Sitzung, 2 Jahre, 2 Jahre, 1 Tag, 29 Tage
    • Unternehmen:
      LinkedIn Ireland Unlimited